Supportartikel WithSecure Elements Announcements

Elements EDR - Neue Funktion - Akzeptiertes Verhalten

Update 2024-06-19: Wir werden die Funktion "Angenommenes Verhalten" ab dem 26. Juni 2024 weltweit aktivieren. Bitte beachten Sie den folgenden Abschnitt "Akzeptiertes Verhalten nach dem 26. Juni 2024" für weitere Informationen

Mit der Einführung von Accepted Behavior ist es nun möglich, Unterdrückungsregeln zu erstellen, die das Verhalten eines Benutzers oder eines Prozesses akzeptieren können. Dies kann erheblich dazu beitragen, BCDs für erwartetes Verhalten zu unterdrücken.

Dies wird von vielen Partnern und Kunden gefordert, da WithSecure eine EDR Lösung erstellt, die für viele verschiedene Umgebungen geeignet ist. Das bedeutet, dass es bestimmte Erkennungsfälle geben kann, in denen Sie aufgrund Ihrer Umgebung ein Verhalten "zulassen" oder akzeptieren möchten. z. B. können Sie eine Software namens "ABC" verwenden und darauf vertrauen, dass der Prozess "XYZ" legitim ist und daher die Erkennung unterdrücken möchten, damit ein ähnliches BCD nicht erzeugt wird.

Eine Zeit lang haben wir Ad-hoc-Anträge für das Zulassen von Listen akzeptiert, aber jetzt haben wir einen Assistenten in Elements Security Center erstellt, mit dem Sie die Unterdrückungsregeln selbst erstellen können.

Wie funktioniert Accepted Behavior?

Ein "Broad Context Detection" (BCD) ist eine Sammlung von Erkennungen, die auf bösartiges oder verdächtiges Verhalten hinweisen. Jede BCD hat eine oder mehrere "Schlüsselerkennungen". Eine "Schlüsselerkennung" ist eine eigenständige Erkennung, die für sich genommen eine neue BCD erzeugen würde. Um zu verhindern, dass sich ähnliche BCDs wiederholen, muss jede Schlüsselerkennung in einer BCD unterdrückt werden. Pro Schlüsselerkennung wird eine Unterdrückungsregel erstellt.

Akzeptiertes Verhalten ist erforderlich, wenn die besonderen Umstände in Ihrem Unternehmen es erforderlich machen, dass eine Erkennung unterdrückt wird. Elements Benutzer sollten bei der Unterdrückung von Erkennungen vorsichtig sein, um sicherzustellen, dass sie nicht zu weit gehen und Verhaltensweisen unterdrücken, die zwar üblich sind, aber auch Teil eines legitimen Angriffs sein könnten.

Welche Einschränkungen gibt es bei der ersten Version?

Wir werden "akzeptiertes Verhalten" ermöglichen zunächst für eine kleine Gruppe von Partnernum Feedback zu sammeln und die Unterdrückungsmechanismen zu verbessern.
Zum Start wird diese Funktion für BCDs mit bis zu 5 Schlüsselerfassungen verfügbar sein. Wir arbeiten daran, diese Funktion für alle BCDs verfügbar zu machen, indem wir die Gesamtzahl der Schlüsselerkennungen reduzieren, ohne dabei einzigartige Informationen aus dem BCD zu entfernen.
Es kann Fälle geben, in denen identische Regeln erstellt werden, weil die Schlüsselerkennung mit denselben Parametern wiederholt wird; dies wird in den kommenden Wochen behandelt.

Wie kann man feststellen, ob man die BCDs zu sehr unterdrückt?

Wenn Sie eine Unterdrückungsregel anwenden, wird jedes neu erstellte BCD automatisch mit der Auflösung "Automatisch akzeptiertes Verhalten" geschlossen. Um Ihnen einen Hinweis darauf zu geben, wie viele BCDs stummgeschaltet werden, die Erkennungsmaschine wird höchstens eine neue BCD alle 24 Stunden pro Unterdrückungsregel erzeugenwenn die Unterdrückungskriterien erfüllt sind. Nach Ablauf von 24 Stunden wird ein neues BCD erstellt, wenn die Unterdrückungsregel ausgelöst wird. WithSecure empfiehlt, dass die Partner die unterdrückten BCDs regelmäßig überprüfen, um sicherzustellen, dass keine bösartigen Aktivitäten unterdrückt werden.

Hinweis: Das akzeptierte Verhalten ist in Fällen erforderlich, in denen BCDs, die wiederkehrende Falschpositive verursachen, ähnliche, aber nicht identische BCD-Fingerabdrücke haben. Wenn ein BCD mit "Falsch positiv" geschlossen wurde, werden identische BCDs mit einem identischen Fingerabdruck automatisch mit der Auflösung "Auto-Falsch positiv" geschlossen.

Wie kann ich ein BCD zum Schweigen bringen?

Der erste Schritt wäre, ein BCD zu finden, das Sie zum Schweigen bringen wollen.

Wenn die Untersuchung abgeschlossen ist, ändern Sie den Status auf "geschlossen" und setzen Sie die Auflösung auf "akzeptiertes Verhalten". In einem Pop-up-Fenster werden Sie gefragt, ob Sie eine "Unterdrückungsregel" erstellen möchten.

Klicken Sie auf Ja, um den Assistenten für Unterdrückungsregeln aufzurufen, und wählen Sie aus, welche Endpunkte betroffen sein sollen.

Es gibt 7 verschiedene Parameter, die für die BCD-Unterdrückung verwendet werden können. Die Parameter sind mit den vom BCD gesammelten Daten vorausgefüllt. Diese Unterdrückungsparameter werden im Folgenden erläutert.

WithSecure hat die Verwendung von mindestens 2 Parametern für jede Schlüsselerkennung erzwungen, um sicherzustellen, dass der "akzeptierte Umfang" so gering wie möglich ist.

Parameter, die standardmäßig aktiviert sind, sind mit einem grünen Kippschalter versehen, der anzeigt, dass der Parameter in der Regel verwendet wird. Klicken Sie auf "Mehr anzeigen", um weitere Parameter anzuzeigen. Diese sind standardmäßig deaktiviert, d. h. die Parameter, die in der bestehenden Regel nicht verwendet werden. Sie können sie deaktivieren/aktivieren, indem Sie den Parameter ausschalten. Die meisten Parameter werden mit den Informationen aus dem BCD vorausgefüllt.

Für BCDs mit mehreren Tastenerkennungen gibt es ein Akkordeon und eine Reihe von Parametern für jede Tastenerkennung. Jede Tastenerkennung in einer BCD muss durch eine Regel unterdrückt werden, damit die BCD stummgeschaltet wird.

Die folgende Tabelle zeigt die möglichen Parameter

Akzeptiertes Verhalten Parameter	Beispiel	Beschreibung
exe_pfad	c:\path\admin\support_service.exe	Dadurch wird die Kombination aus Schlüsselerkennung und benannter ausführbarer Datei unterdrückt.
exe_name	support_service.exe	Dadurch wird diese Kombination aus Schlüsselerkennung und Prozess unterdrückt.
cmdl	"c:\windows\system32\net localgroup group_name /add /domain	Die unterdrückt die ausführbare Datei nur, wenn die exakten Argumente für diese Schlüsselerkennung übereinstimmen.
parent_exe_path	c:\path\admin\\support.exe	Dadurch wird die Erkennung dieser Schlüssel- und Elternkombination unterdrückt. Seien Sie vorsichtig, wenn Sie nur einen übergeordneten Prozess unterdrücken. Es wird empfohlen, dies mit einem anderen, nicht übergeordneten Parameter zu verwenden.
übergeordneter_exe_name	unterstützen.exe	Dadurch wird die Erkennung dieser Schlüssel- und Elternkombination unterdrückt.
übergeordnete_cmdl	c:\windows\system32\net localgroup group_name /add /domain	Damit wird die Erkennung von Schlüsseln unterdrückt, die von jedem Prozess erstellt werden, der genau mit dieser übergeordneten Befehlszeile übereinstimmt. WithSecure empfiehlt, dies zusätzlich zu den untergeordneten Parametern zu verwenden. Das Verhalten des übergeordneten Prozesses allein (ohne andere Parameter) zu akzeptieren, bedeutet, dass der Umfang der Unterdrückung viel größer ist, was möglicherweise gefährlich ist.
Nutzername	john_doe	Dadurch wird die Kombination aus Schlüsselerkennung und Benutzername unterdrückt. Jeder Prozess, der die Schlüsselerkennung auslösen würde, wird für den angegebenen Benutzernamen zum Schweigen gebracht. WithSecure empfiehlt dringend, dies zusammen mit anderen Parametern zu verwenden.

Welche Operatoren kann ich bei der Konfiguration von Parametern in einer Schlüsselerkennung verwenden?

Mit Unterdrückungsregeln können Sie zwei Operatoren einrichten: "Gleich", der für alle Parameter gilt, wenn ihre Länge weniger als 1024 Zeichen beträgt, und "Enthält", der auf alle Parameter anwendbar ist.

Wird die Zulassung sofort wirksam?

Sie können die Unterdrückungsregeln im Bereich "Automatisierte Aktionen" überprüfen, siehe Registerkarte "Unterdrückungsregeln".

Sie können auf die Regel und auf die Anzahl der stummgeschalteten BCDs klicken. Dadurch gelangen Sie zur BCD-Ansicht, in der die entsprechenden BCDs aufgelistet sind, die durch diese Regel stummgeschaltet wurden.

Bereits bestehende BCDs werden nicht geschlossen, wenn eine neue Regel eingeführt wird. Alle neuen BCDs, die nach der Implementierung der Regel erstellt werden, werden mit der Auflösung "Auto Accepted Behavior" geschlossen.

HINWEIS: Unsere Partner/Kunden werden in der Lage sein, eine Unterdrückungsregel für neu erstellte BCD zu erstellen, sobald die Funktion freigegeben ist.

Warum kann ich keine Regeln sehen, die mit meinen bestehenden Zulassungsanfragen übereinstimmen?

Das WithSecure Detection and Response Team (DRT) hat in der WithSecure Erkennungsmaschine eine andere Ebene für die Erlaubnisliste implementiert, was bedeutet, dass BCDs nicht für die vom DRT durchgeführte Erlaubnisliste erstellt werden. Daher sind die Regeln in der Ansicht "Unterdrückungsregeln" nicht verfügbar.

Was unternimmt WithSecure, um Falschmeldungen zu reduzieren?

Wir arbeiten derzeit an der Verbesserung der Erkennungsqualität, indem wir das Verhältnis von True Positive zu den insgesamt gemeldeten Vorfällen erhöhen. Die Lösung besteht aus drei Teilen. Eine Simulation hat vielversprechende Ergebnisse erbracht, die darauf hindeuten, dass das BCD-Volumen um 40 % reduziert werden könnte.

Die drei unten aufgeführten Teile werden dazu führen, dass weniger mittlere, hohe und schwere GGM mit einer genaueren Risikoeinstufung erstellt werden;

Verbesserung der Lärmunterdrückungsmechanismen - Wir sind dabei, unseren Mechanismus umzugestalten, um Entdeckungen zu unterdrücken, die vom üblichen Verhalten abweichen.
Verbesserter BCD-Risiko-Scoring-Algorithmus - Wir sind dabei, einen neuen Algorithmus zu implementieren, der eine Risikobewertung für ein BCD auf der Grundlage der Verteilung der Schweregrade über die in dem BCD enthaltenen Entdeckungen sowie unter Verwendung früherer und aktueller Daten berechnet, um die Genauigkeit der Bewertung zu verbessern.
Integration des BCD-Clustering-ML-Modells - Bei diesem Modell werden Vorfälle auf der Grundlage ihrer Ähnlichkeit mit anderen Vorfällen, die bereits als RP bewertet oder von Kunden und Partnern bestätigt wurden, in Gruppen zusammengefasst.

Wer kann die Unterdrückungsregeln bearbeiten?

Wenn Sie ein Nur-Lese-Benutzer sind, sollten Sie keine Regeln hinzufügen oder bearbeiten dürfen.

Wenn Sie ein Benutzer mit Vollzugriff auf ein Unternehmen sind, haben Sie die Möglichkeit;

Regeln erstellen
Bearbeiten Sie die für Ihr Unternehmen erstellten Regeln.

Wenn Sie ein Partner von Full Access sind, sollten Sie dazu in der Lage sein:

Regeln erstellen
Bearbeiten Sie die von Ihnen oder Ihren Kollegen auf Partnerebene erstellten Regeln.
Bearbeiten Sie die von Ihren Kunden erstellten Regeln in den von Ihnen verwalteten Unternehmen.

Sind die Regeln unternehmensspezifisch?

Ja, derzeit kann eine Regel nur für ein Unternehmen gelten. Wir haben die Rückmeldung erhalten, dass Partner gerne Regeln für mehrere Unternehmen anwenden würden, daher haben wir dies in unsere Roadmap aufgenommen.

Wer ist für die Validierung von Unterdrückungsvorschriften zuständig?

Der Partner muss sicherstellen, dass seine Analysten und Endbenutzer die Unterdrückungsregeln verstehen und in der Lage sind, sie zu konfigurieren und zu verwalten. Der Partner muss sich darüber im Klaren sein, dass übermäßig unterdrückende Regeln zu entgangenen Kompromissen führen können, da BCDs verborgen werden. Wir empfehlen daher, dass der Partner/Endbenutzer die Regeln und ihre Wirksamkeit regelmäßig überprüft.

Auflösungscodes neu

Akzeptiertes Verhalten - Der Vorfall wurde abgeschlossen und wird nicht mehr überwacht. Die Erkennung wurde als akzeptables Verhalten bestätigt.
Automatisch akzeptiertes Verhalten - Der Vorfall wurde automatisch als akzeptiertes Verhalten auf der Grundlage der bestehenden Unterdrückungsregeln geschlossen.

Hinweis: Das Schließen eines BCDs als akzeptiertes Verhalten bringt ähnliche BCDs nicht zum Schweigen, es muss eine Regel erstellt werden.

Akzeptierte Verhaltensweise nach dem 26. Juni 2024

Ab dem 26. Juni 2024 wird "Accepted Behavior" weltweit für alle Kunden verfügbar sein.

Es wird möglich sein, Unterdrückungsregeln zu erstellen, die das Verhalten eines Benutzers oder Prozesses akzeptieren. Diese Funktion hilft bei der Unterdrückung von "Broad Context Detection" (BCDs) für erwartetes Verhalten. Partner und Kunden, die die Lösung EDR von WithSecureverwenden, können diese Funktion nutzen, um bestimmte Verhaltensweisen in ihren Umgebungen zuzulassen. Wenn Sie beispielsweise einem Prozess namens "XYZ" in Verbindung mit der Software "ABC" vertrauen, können Sie ähnliche BCDs unterdrücken, um unnötige Alarme zu vermeiden.

Angenommenes Verhalten funktioniert durch Unterdrückung von Schlüsselerkennungen innerhalb eines BCDs. Jedes BCD enthält einen oder mehrere Schlüsselerkennungen, die verdächtiges Verhalten hervorheben. Unternehmen können Unterdrückungsregeln erstellen, die auf ihren spezifischen Umständen basieren. Die Benutzer sollten jedoch darauf achten, die Unterdrückung nicht zu weit zu fassen, da auch legitimes Verhalten betroffen sein könnte.

Zu den Einschränkungen dieser Version gehört die Aktivierung des "akzeptierten Verhaltens" bei BCDs mit bis zu 5 Schlüsselerkennungen. Wir werden uns demnächst mit Fällen befassen, in denen identische Regeln aufgrund von sich wiederholenden Schlüsselerkennungen erstellt werden.

Außerdem kann ein Partner eine Unterdrückungsregel erstellen, die für alle von ihm verwalteten Unternehmen gilt. Zur Zeit gibt es die Einschränkung, dass er die Regel auf ein Unternehmen oder auf alle von ihm verwalteten Unternehmen anwenden kann. Wir hoffen, dass wir in Zukunft eine feinere Kontrolle darüber ermöglichen werden.